5 Typer af Social Engineering-Angreb
Social manipulation svindel har stået på i årevis, og alligevel er vi fortsat med at falde for dem hver eneste dag. Dette skyldes den overvældende mangel på cybersikkerhed uddannelse til rådighed for de ansatte i organisationer store og små. I et forsøg på at sprede bevidstheden om denne taktik og kæmpe tilbage, her er et hurtigt overblik over fælles social engineering svindel., Managed service providers (MSP ‘ er) har en mulighed for at uddanne deres små og mellemstore erhvervskunder til at lære at identificere disse angreb, hvilket gør det meget lettere at undgå trusler som ransom .are.
Phishing
Phishing er en førende form for social engineering-angreb, der er typisk leveret i form af en e-mail, chat, web-annonce eller dit websted, der er blevet designet til at efterligne en reel system, person eller organisation. Phishing-meddelelser er udformet til at levere en følelse af uopsættelighed eller frygt med det endelige mål at opfange en slutbrugers følsomme data., En phishing-meddelelse kan komme fra en bank, regeringen eller et større selskab. Opfordringen til handlinger varierer. Nogle beder slutbrugeren om at” verificere ” deres loginoplysninger om en konto og inkludere en hånet login-side komplet med logoer og branding for at se legitim ud. Nogle hævder, at slutbrugeren er “vinderen” af en storpræmie eller lotteri og anmoder om adgang til en bankkonto, hvor gevinsterne kan leveres. Nogle beder om velgørende donationer (og giver ledningsinstruktioner) efter en naturkatastrofe eller tragedie. Et vellykket angreb kulminerer ofte med adgang til systemer og mistede data., Organisationer i alle størrelser bør overveje at sikkerhedskopiere forretningskritiske data med en forretningskontinuitet og katastrofegendannelsesløsning for at komme sig efter sådanne situationer.
Baiting
Baiting, svarende til phishing, indebærer, at tilbyde noget lokkende til en slutbruger, i bytte for login-oplysninger eller private data., Den “lokkemad” kommer i mange former, både digitale, såsom musik eller film download på en peer-to-peer-site, og fysisk, som en corporate brandet flash-drev, der er mærket “Executive Løn Resumé Q3”, der er tilbage ud på et bord til en slutbruger at finde. Når agnet er do .nloadet eller brugt, leveres ondsindet soft .are direkte til slutbrugersystemet, og hackeren er i stand til at komme på arbejde.
Quid Pro Quo
der Ligner baiting, quid pro quo indebærer, at en hacker, der anmoder om udveksling af kritiske data, eller loginoplysninger til gengæld for en tjeneste., For eksempel kan en slutbruger modtage et telefonopkald fra hackeren, der som teknologiekspert tilbyder gratis IT-hjælp eller teknologiforbedringer i bytte for loginoplysninger. Et andet almindeligt eksempel er en hacker, der poserer som forsker, beder om adgang til virksomhedens netværk som en del af et eksperiment i bytte for $100. Hvis et tilbud lyder for godt til at være sandt, er det sandsynligvis quiduid pro .uo.
Piggybacking
Piggybacking, også kaldet tailgating, er, når en uautoriseret person fysisk følger en autoriseret person ind i et begrænset virksomhedsområde eller-system., En gennemprøvet metode til piggybacking er, når en hacker ringer til en medarbejder for at holde en dør åben for dem, da de har glemt deres ID-kort. En anden metode involverer en person, der beder en medarbejder om at “låne” sin bærbare computer i et par minutter, hvor den kriminelle hurtigt kan installere ondsindet soft .are.,
Pretexting
Pretexting, den menneskelige tilsvarende af phishing er, når en hacker, der skaber en falsk følelse af tillid mellem sig selv og den endelige bruger, som udgiver sig for at være en medarbejder eller en figur af myndighed velkendt, at en slutbruger for at få adgang til login-oplysninger. Et eksempel på denne type svindel er en e-mail til en medarbejder fra det, der ser ud til at være lederen af IT-support eller en chatbesked fra en efterforsker, der hævder at udføre en virksomhedsrevision., Prete .ting er meget effektiv, da det reducerer menneskelige forsvar til phishing ved at skabe forventning om, at noget er legitimt og sikkert at interagere med. Pretexting e-mails er særlig succesfulde i at få adgang til adgangskoder og business data som impersonators kan synes legitimt, så det er vigtigt at have en tredje part backup udbyder
For alle medarbejdere til at være opmærksomme på de forskellige former for social engineering er afgørende for at sikre virksomhedernes cybersecurity., Hvis brugerne kender de vigtigste egenskaber ved disse angreb, er det meget mere sandsynligt, at de kan undgå at falde for dem.
bortset fra uddannelse og bevidsthed er der andre måder at reducere risikoen for at blive hacket. Medarbejdere skal instrueres om ikke at åbne e-mails eller klikke på links fra ukendte kilder. Computere bør aldrig deles med nogen, selv for et øjeblik. Som standard skal alle virksomhedens desktops, bærbare computere og mobile enheder automatisk låse, når de er tomgang i mere end fem minutter (eller mindre)., Endelig skal du sikre dig, at din virksomhed er parat til hurtigt at komme sig efter denne form for angreb, hvis en medarbejder bliver offer for en af disse ordninger. Mennesker er trods alt mennesker. Ved at udnytte en solid backup og recovery løsning, kan alle hvile let.